第2回:2016年の主要なサイバーセキュリティ事例を振り返る

第2回:2016年の主要なサイバーセキュリティ事例を振り返る

「2016年の主要なサイバーセキュリティ事例を振り返る」と題し、今年一年に発生した主要なセキュリティ事例を 2回に分けて報告しています。第1回では、「最も持続可能なサイバー犯罪:ランサムウェアによる攻撃」、「Yahoo! を襲った史上最大の情報漏えい」、「Microsoft の月例修正プログラムのリリース数が最大に」、「予期しなかった Apple製品のゼロデイ脆弱性」、「絶えることのない Adobe Flash Player の脆弱性」についてお伝えしました。第2回の今回は、以下について報告します。

  • 第2回
    • さらに高額な利益を狙う新たなサイバー犯罪:「BEC」と「BPC」
    • サイバー犯罪者の格好の標的となった SWIFT
    • 政治に深刻な影響を与えた DNC情報漏えい事例
    • ウクライナの発電所へのサイバー攻撃:産業施設で初の被害事例
    • 厄介な災難をもたらしたマルウェア「Mirai」

■さらに高額な利益を狙う新たなサイバー犯罪:「BEC」と「BPC」
多国籍の大企業は、「Business Email Compromise(BEC、ビジネスメール詐欺)」の格好の標的となります。BECとはオンライン詐欺の手法の1つで、攻撃者は、正規のメールアカウントを乗っ取るなどの方法で業務メールを盗み見、企業の財務部門担当者や取引先の担当者等になりすまして送金指示を行ないます。海外取引先と頻繁に送金業務を行なっている企業が格好の標的となります。ビジネスメール詐欺の被害件数は、2015年当初から現在まで 270%の増加率を示しており、既にこの2016年に最も大きな損失を企業にもたらした詐欺手法となっています。

  • Leoni が見舞われた BEC詐欺
    「Leoni AG」はドイツのニュルンベルクに本社を置く自動車用電線メーカー。2016年8月、同社ルーマニア工場の最高財務責任者(Chief Financial Officer、CFO)がBECの被害に遭い、身元不明の銀行口座に 4,000万ユーロ(2016年12月の円換算で約49億円)を支払わされました。この詐欺では、同社経営幹部になりすました Eメールが送信され、社内ポリシーを巧妙に順守した送金リクエストが偽装されました。この偽の送金リクエストはほぼ本物と見分けがつかず、CFO は送金指示に応じてしまいました。

BEC 同様に企業から大金を巻き上げる新たな手法が「Business Process Compromise(BPC、ビジネスプロセス侵害)」です。BPC は、社内の業務手順、システム、オペレーション、組織構造など、まさにビジネスプロセス上の盲点を突いた攻撃となっています。

BPC の手法は標的型サイバー攻撃とも類似していますが、異なるのは、情報窃取や妨害行為ではなく、あくまで金銭取得が目的である点です。攻撃者は、標的となる企業や組織へ侵入し、ネットワーク内で攻撃基盤を拡大しつつ情報探索を行い、インフラや通信システムなど、ビジネスプロセス上の盲点を突き止めます。2016年に発生した BPC事例としては、バングラデシュ中央銀行が莫大な損失を被った事例があります。

  • バングラデシュ中央銀行を狙った BPC
    歴史上最大規模の被害をもたらしたこの事例では、攻撃者は、バングラデシュ中央銀行のオペレーターの「国際銀行間通信協会(Society for Worldwide Interbank Financial Telecommunication、SWIFT)」の認証資格を取得し、複数のマルウェアをシステム内にインストールしました。2016年2月初旬、攻撃者は、バングラデシュ中央銀行からニューヨーク連邦準備銀行に対し、スリランカとフィリピンの口座への送金を指示しました。攻撃者は、発覚を避けるため、週末を狙って送金指示を出し、さらに、不正送金の SWIFT認証レシートが従業員に印刷・確認されるのも避けるため、銀行の印刷システムも改ざんしていました。

    これにより総額 8,100万米ドル(2016年12月の円換算で約96億円)が失われ、事後、世界各地の銀行とニューヨーク連邦準備銀行間の送金や通信に関して問い合わせが殺到しました。この事例はまた、次に述べるSWIFTプロセスのセキュリティ上の盲点を浮き彫りにした事例であるとも言えます。

■サイバー犯罪者の格好の標的となった SWIFT
2016年にサイバー犯罪者の標的となった業務上の仕組みとして SWIFT があります。SWIFT は、銀行やその他の外国為替や投資信託など、金融機関同士のグローバル規模の金融通信メッセージングサービスのネットワークを提供する標準化団体です。しかし 2016年、この SWIFT のクライアントを標的とする攻撃が確認され、金融機関は、不正送金リクエストなどが送信される被害に見舞われました。これらの攻撃のどの程度が成功を収めたかははっきりしていませんが、SWIFT は 2016年6月、クライアント向けに注意喚起の書簡を送付しました。そして金融機関側も、顧客へソフトウェア更新やセキュリティ強化などの対策が求められています。

  • その他の SWIFT関連の被害
    SWIFT関連の被害では、バングラデシュ中央銀行が最もよく知られていますが、その他、エクアドルの銀行「Banco del Austro」も 2015年1月にSWIFT を狙った攻撃に見舞われていたことが、2016年に入ってから明らかになっています。攻撃者は、SWIFT 経由で送金するコードを取得し、同行は 1,200万米ドル(2016年12月の円換算で約14億1,600万円)を失いました。窃取された現金は、香港、ドバイ、ニューヨーク、ロサンゼルスの口座に送金されたとされています。

■政治に深刻な影響を与えた DNCの情報漏えい事例
「米民主党全国委員会(Democratic National Committee、DNC)」の情報漏えい事例は、ロシアと米国の関係に大きな衝撃を与えました。漏えい発覚から詳細調査を経て数カ月後、ロシアによるサイバー諜報活動や選挙への関与の可能性に関し、米国は公式にロシアを批判しました。

  • DNC での情報漏えい
    米民主党の運営団体である DNC から 1万9,000通以上の Eメールが流出し、内部告発サイト「WikiLeaks」で公開されました。この結果、同委員長の Debbie Wasserman Schultz 氏やその他の DNC の主要メンバーが辞任に追い込まれました。また、この漏えいでは、米大統領選挙の結果に影響を及ぼそうとした疑惑も報じられていました。

■ウクライナの発電所へのサイバー攻撃:産業施設で初の被害事例
この事例の発生前、弊社のレポートでも、攻撃者がさまざまな業界の重要インフラへの攻撃に関心を示している事実を明らかにしていました。特に攻撃者は、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)」システムを使用する企業を狙っていました。SCADA は、多くの産業施設の中核を担う自動制御システムです。

ウクライナの発電所を狙ったこの攻撃は、攻撃者がマルウェアを SCADAシステムにアクセスさせて停電を引き起こした初めての攻撃事例でした。

  • ウクライナの発電所を狙ったマルウェア
    ウクライナ各地域の電力会社3社が、複数のサイバー攻撃による予期しない停電に追い込まれました。停電は3時間に及び、25万人の顧客が影響を受けました。攻撃者は、「仮想プライベートネットワーク(Virtual private Network、VPN)」を乗っ取って SCADAネットワークにアクセスし、そこから発電施設を制御しました。また、顧客を停電に追い込むだけでなく、施設のオペレーションも操作不能に仕組みました。報道によると、電力会社3社はマルウェア「BlackEnergy(「KILLDISK」ファミリとして検出)」に感染し、このマルウェアにより攻撃が引き起こされましたが、停電の原因はそれではなかったといいます。「BlackEnergy」には「KillDisk」というモジュールが含まれており、このモジュールにより攻撃後もシステムが消去され、施設オペレーションの操作不能が発生したようです。この状況は、産業制御システムを狙った攻撃の巧妙化を示しています。今後も「BlackEnergy」は複数の地域を狙い、より効果的な攻撃へと進化していくでしょう。

■厄介な災難をもたらしたマルウェア「Mirai」
2016年は、複数の有名企業が標的にされた「分散型サービス拒否(distributed denial-of-service、DDoS)」攻撃が注目されました。これらの攻撃はマルウェア「Mirai」により引き起こされました。このマルウェアはELF形式のファイルを狙い、感染端末をボットに変えて DDoS攻撃を実行します。ELF は、Linux や UNIX基盤のシステムに使用される一般的なファイル形式で、特に「モノのインターネット(Internet of Things、IoT)」の機器が標的にされます。

今回の DDoS攻撃成功の要因は、次のとおりです。まず「Mirai」のソースコードが公開されており、いつでも多数の DDoS攻撃者が利用できる状態にあった点です。これは、かつての巨大ボットネット「ZeuS」が形成された軌跡と似ており、基本テンプレートを誰もがコピーできる状態といえます。もう1つは、セキュリティが脆弱な IoT機器が増加している点です。これら大量の IoT機器は、簡単に改ざんしてボットとして利用できる状態にありました。

過去数カ月間に確認された大規模 DDoS攻撃の多くは「Mirai」により引き起こされたものでした。弊社は、監視カメラ、DVR、ホームネットワーク機器、最近ではルータなど、どの IoT機器が改ざんされたかも確認していました。以下は「Mirai」による注目すべき事例です。

  • Brian Krebs 氏のブログを狙った攻撃
    セキュリティリサーチャ Brian Krebs 氏は、DDoS攻撃を請け負ったグループから DDoS攻撃を受け、その経緯や対応の詳細を自身のブログで公開しました。この攻撃は、毎秒 620ギガバイトに達する不正トラフィックを引き起こし、発生当時、史上最大規模の DDoS攻撃となりました。この攻撃により Krebs 氏のブログは数日間閉鎖に追い込まれましたが、Google の DDoS対策サービス「Project Shield」の支援を受けて復旧を果たしました。これは、その後発生する一連の巨大 DDoS攻撃群の始まりでもありました。

  • DNS プロバイダサービス「Dyn」への攻撃
    DNS プロバイダサービス「Dyn」に大規模な DDoS攻撃が仕掛けられ、主要な Webサイトや米東海岸のユーザ数百万人に影響が及びました。この攻撃は毎秒1.2テラバイトに達したといわれ、「Twitter」、「Reddit」、「Netflix」、「Spotify」、その他の主要サイトが影響を受けました。直後の調査によると、「Mirai」により約10万台 IoT機器が改ざんされてボットとして利用されたと見積もられています。

  • ロシアの銀行を狙った攻撃
    2016年11月初旬、顧客向けオンラインサービスは影響を受けたなかったものの、長期に渡る DDoS攻撃がロシアの銀行5行に仕掛けられました。攻撃は2日間に及び、少なくとも 30カ国 2万4,000台の PC が影響を受けたと報じられています。

参考記事:

翻訳:与那城 務(Core Technology Marketing, TrendLabs)